Meet Smominru, a Dangerous Malware That Could Try to Steal Your Credentials

您可以说Smominru蠕虫不是那里最广为人知的网络威胁。实际上,它确实引起了一些关注,主要是来自网络安全专家,但是总的来说,它没有像Trickbot这样频繁地在新闻中被提及。尽管如此,在过去的三年中,它一直困扰着全球的Windows用户,最近,Guardicore的研究人员决定仔细研究一下它的发展情况。他们的发现相当令人惊讶。

专家们设法访问了该恶意软件的核心Command&Control(C&C)服务器之一并读取了日志。他们发现,仅在8月份,Smominru就感染了多达90,000台Windows设备。每天平均有4700台计算机和服务器。

像大多数此类威胁一样,Smominru也不针对特定的用户或组织。该蠕虫感染了计算机,这些计算机属于在各个不同领域工作的各种公司。中国,台湾,俄罗斯,巴西和美国在8月记录了最多的受害者,Guardicore说,受感染的设备大多数是小型服务器。

总而言之,尽管Smominru可能不是最知名的恶意软件家族,但它似乎比一些知名竞争对手更活跃,并且显然可以影响到大量用户。怎么样了

简单的技术和古老的漏洞是Smominru成功的根源

Smominru有两种感染新主机和在网络中横向移动的方式。它要么强行使用RDP和Telnet等Windows服务,要么使用称为EternalBlue的东西。

蛮力攻击可以说是黑客库中最简单的工具。不幸的是,由于人们倾向于使用相同的弱密码,因此它通常也是最有效的密码之一。在Smominru的情况下,一些配置错误会有所帮助。

RDP和Telnet是旧的网络协议,具有更现代,更可靠的替代方案。如今,并没有多少人使用它们,尽管如此,仍有相当多的系统管理员让它们运行。将其与保护它们的弱密码(或默认密码)结合使用,您将看到Smominru这样的威胁如何轻松地在网络中传播。

相同的疏忽是Smominru第二个感染媒介:EternalBlue的核心。 EternalBlue是据称由NSA开发的一种利用程序,它利用了特定的Windows漏洞。它于2017年4月泄露,而且功能如此强大,以至于Microsoft放弃了它的工作,并发布了已达到其支持终止的系统的补丁程序. 尽管如此,在同年的5月和6月,EternalBlue被用于过去十年中两次最严重的网络攻击-WannaCry和NotPetya勒索软件爆发。

您可能认为用户,尤其是负责公司服务器的用户,现在应该已经对其系统进行了修补,但可悲的是,情况并非如此。

实际上,八月份的Smominru感染的所有计算机中有85%在Windows 7或Windows Server 2008 R2上运行,这表明人们仍在使用过时的软件。而且,即使对于这些较旧的版本也有可用的补丁程序,用户只是不想应用它们。 Guardicore报告说,Smominru在最初被发现和删除的机器上记录了25%的再次感染率。

总而言之,Smominru感染新主机的速度令人印象深刻,这不仅取决于其操作员的技能和成熟程度。用户和系统管理员都表明,这更多地与不遵循最基本的网络安全良好做法有关。

Smominru支持加密挖矿和凭证盗窃

一旦Smominru在新计算机上找到了自己,它将首先着手在具有管理权限的系统上创建新用户。有了这个,蠕虫就可以在所有受感染的主机上执行全部操作。

Guardicore的专家指出,他们观察到的样本似乎对竞争对手的产品特别有敌意。成功感染后不久,Smominru会终止进程,删除文件和计划的任务,并还原与其他恶意软件系列相关的注册表更改。然后,它阻止了某些网络端口,以降低其他攻击者破坏同一主机的机会。

显然,Smominru运营商不想共享赃物,当您看到所说的赃物是什么时,您几乎不会感到惊讶。一年多以来,Smominru帮派一直在使用受感染主机的硬件资源来挖掘名为Monero的流行加密货币,但是根据Guardicore的报告,有效负载现在包括名为Mimikatz的渗透测试工具,可以窃取用户名,密码和其他个人信息。确实,当他们在查看Smominru的C&C中的日志时,研究人员注意到相当多的窃取登录凭据。

谈到C&C,专家们还指出,Smominru的运营商已经建立了相当认真的后端基础架构。至少设置了20个C&C服务器,其唯一目的是控制蠕虫。他们中的大多数都位于美国,但在马来西亚和保加利亚也有一些地方,这意味着要降低整个行动的难度将非常大。

这意味着用户和系统管理员可能应该再看看他们的网络配置和更新策略,并查看他们的系统是否容易受到Smominru攻击。

October 9, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
5 + 10是什么?